i 

^9) BUNDESREPUBLIK 
DEUTSCHLAND 




DEUTSCHES 
PATENTAMT 



© Offenlegungsschrift 
@DE 19620137 A1 



(§) Aktenzeichen: 
(2) Anmeldetag: 
(§) Offenlegungstag: 



19620137.3 
7. 5.96 
13.11.97 



<§j) Int. CI. 6 : 

H 04 L 29/06 

H04L 12/52 
H04L 1/12 
H04B 17/00 
H04B 7/212 
H04B 7/26 



CO 

«N 

CD 
O) 



UJ 

Q 



@Anmelder: 

Daimler-Benz Aktiengesellschaft, 70567 Stuttgart, 
DE 



@ Erfinder: 

Bohne, Jurgen, Dipl.-Ing., 10555 Berlin, OE 



Prufungsantrag gem. § 44 PatG ist gestellt 

<S) Protokoll fur sicherheitskritische Anwendungen 

(§7) Es sotl ein Protokoll rur Obertragung von Nachrichten 
zwischen sendenden und empfangenden Stationen in Ze'rt- 
scheiben fur sicherheitskritische Anwendungen auf der 
Basts einer synchronen Arbitration angegeben warden, 
durch das insbesondera auch bei redundantan Stationen 
Storungen im Kornmunikationssystem (einschlie&lich der 
Kommunikationsteiinehmer) zuverlassig ermitteft warden. 
Dazu werden die Zeitscheiben zyklisch jeweils einer Emp- 
fangsstation durchgangig deterministisdh zugeordnet. Die 
Zeitscheiben werden jeweils in ein zeitliches Transferfenster 
zur Obertragung der Nachricht bzw. einer Teilnachricht und 
in ein an das Transferfenster anschlieSendes zeitliches 
Qutttungsfenster unterteitt, wobei im Quittungsfenster aus- 
schlieSiich bei einer fehierhaft oder gar nicht empfangenen 
™ Nachricht von der Empfangsstation ein Einspruchsignal 
f (VETO-Signal) als Anzeige einer Stoning abgegeben wird. 
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Beschreibung 

Kommunikationssysteme arbeiten oft in einer Umgebung, deren Storpotential nicht genau definiert werden 
kann. Dies gilt vor allem fur Automotive-Anwendungen, deren Storumgebung sich standig andert Verkehrsrnit- 
5 tel, wie z. B. Kraftfahrzeuge, sind besonders gefahrdet beim Durchqueren starker Felder in der Nahe von 
Sendern und durch Gewitter, die starke burst-artige Stdrungen produzieren. Ira Pkw und Nfz werden heute 
bereits elektronische Steuerungskomponenten eingesetzt, die untereinander Daten austauschen bzw. gemeinsa- 
me Datenquellen nutzen. Die verwendeten Kommunikationssysteme [1] erfullen die daran geknupften Zuverlas- 
sigkeitsanforderungen: 

10 

— Kommunikationsf ehler mussen entdeckbar sein, 

— Der Ausfall eines Teilnehmers darf das Kommunikationssystem nicht lahmlegen. 

— Die Reihenfolge der Nachrichten eines Senders bleibt beim Empfang erhalten. 

— Nachrichten werden mit hoher Wahrscheinlichkeit rechtzeitig ubertragen, 

15 

Zur Zeit werden die ersten Kfz-Komponenten entwickelt und erprobt, die sicherheitskritische Aufgaben 
bewaltigen und dazu miteinander kommunizieren. Gegenstand der Forschung sind Komponenten, die gemein- 
sam sicherheitskritische Aufgaben unter harten Echtzeitbedingungen erfullen* so da£ das Kommunikationssy- 
stem selbst sicherheitskritisch ist Solche Anwendungen stellen erweiterte Anforderungen an das Kommunika- 
20 tionssystem, die von den derzeitigen Systemen nur teilweise erfullt werden: 

— Das Kommunikationssystem muB fail-operational sein, d.h.es muB bei jeder moglichen Stdrung und 
nach jedem moglichen Ausfall seine Aufgabe weiter erfullen (u. U- mussen redundante Kommunikationswe- 
ge unterstutzt werden). 

25 — Das Kommunikationssystem muB permanente Fehler von Stdreinstreuungen zuverlassig unterscheiden 

undjdef ekte Komponenten — und nur solche — vom Senden ausschlie&en. 

— Anderungen im Kommunikationssystem (Ausfall und Wiederanlauf) mussen der Anwendung schneDst 
moglich und netzweit konsistent gemeldet werden. 

— In den Nachrichten mussen Verfalschungen bis bin zur maximal vorkommenden Lange einer Storung 
30 (Burst) zuverlassig erkannt werden. 

— Wichtige Nachrichten sind in garantierter Zeit zu ubertragen. 

— Multicast-Nachrichten sind erforderlich und mussen atomar ubertragen werden. Fur bestimmte Nach- 
richten von verschiedenen Quellen ist die Erhaltung ihrer globalen Reihenfolge zu garantieren. 

— Es muB ein Sicherheitsnachweis fuhrbar sein, worin ausgeschlossen wird, da£ das Kommunikationssy- 
35 stem Sicherheitsfunktionen in den einzelnen Komponenten beeintrachtigen kann. Wenn Komponenten 

gemeinsam eine sicherheitskritische Aufgabe bearbeiten, muB ein Sicherheitsnachweis fur das Kommunika- 
tionssystem unter EinschluB aller Komponenten gefuhrt werden, 

Neben den Zuveriassigkeits- und Sicherheitsanforderungen stellt die Praxis weitere Anforderungen an ein 
40 Kommunikationssystem: 

— Dynamisches Aus- und Eingliedern von Konununikationsteilnehmern und Erweiterbarkeit des Netzes 
sind wichtige Eigenschaften. Als Beispiel sei folgende Idee genannt: 

Zur Ankopplung eines modernen Anhangers an ein modernes Nfz wird die Station, die das Ankoppeln eines 
45 alien Anhangers ermdglicht, fur die Fahrt ausgegfiedert Die Stationen im modernen Anhanger werden 

angeschlossen und eingegliedert 

— Eine weitere wichtige Eigenschaften ist die leichte Integrierbarkeit von Stationen und Funktionen in ein 
und zu einem Gesamtsystem, da bereits die Ausstattungsvarianten eines Pkws die unterschiedlichsten 
Zusammenstellungen von Funktionen erfordern. Die einzelnen Stationen mussen dabei leicht konfigurier- 

50 bar sein, 

— Ein zukunftsorientiertes Kommunikationssystem muB mit der Entwicklung Schritt halten und weiterent- 
wickelt werden konnen. Es sollte fur hohere Obertragungsgeschwindigkeiten geeignet und auf verschiede- 
nen physikalischen Medien lauffahig sein. Denkbare AnwendUmgsarchitekturen, insbesondere fur den re- 
dundanten Betrieb, durfen nicht behindert oder gar verhindert werden. 

55 — Und: Das Kommunikationssystem muB kostengunstig sein. 

Kommunikationsprotokoll 

"Motor* eines Kommunikationssystems ist sein ProtokolL Dieser Bericht stellt ein ProtokoH vor, das im 
60 Gegensatz zu den asynchronen Protokollen CAN [2] und ABUS [3] im Kfz-Bereich oder TCN [4] im Bahnbe- 
reich einen Ansatz auf Basis einer synchronen Arbitration vorsieht. Das ProtokoH berucksichtigt die vorgenann- 
ten Anforderungen, ist auBerst robust gegen Stdrungen und ergreift alle Moglichkeiten, urn die Kommunikation 
aufrecht zu erhalten. Es setzt eine synchrone verteilte Zeitbasis voraus, die uber die laufenden Nachrichten [5] 
und durch lokale Uhren [6] realisiert werden kann. Ein TDMA- Ansatz, wie er im SAFEbus [7] zu finden ist, der 
es fur sichere Systeme in der Luftfahrt als Backplane-Bus (42 Inches) konzipiert wurde, ist fur das lokale Netz im 
Kfz zu aufwendig. 

Das ProtokoH prajudiziert keine bestimmte Sof tware-Architektur fur die Anwendung. Es ist off en fur Kombi- 
nationen aus einf achen Stationen, die einen Kommunikationsweg nutzen, bis hin zu hochredundanten Stationery 
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die redundante Kommunikationswege nutzen. Neben dem Leitmotiv Fehlertoleranz und Sicherheit werden bei 
der Entwicklung des Protokolls Aspekte wie Praktikabilitat, Kosten und Weiterentwicklung in hohem MaBe 
beriicksichtigt 

Zeitgesteuerte Architektur 5 

Fur sicherheitskritische Systeme ist das statische (Pre-Runtime) Scheduling von Anwendungsprozessen we- 
gen der leichteren Verifizierbarkeit von VorteiL Ein naheliegender Gedanke besteht in der Synchronisation von 
Protokoli und Anwendung, wodurch eine zeitgesteuerte Architektur entsteht In einer Time Triggered Architec- 
ture (TTA) steuert ein globaler Zeittakt, der verteilt realisiert sein kann, afle Systernaktivitaten: Anwenderfunk- io 
tionen und Kommunikation. Der InforxnationsfluB in einer solchen Architektur kann wie folgt ablaufen: Eine 
Nachricht wird in einer vorbestimmten Zeitscheibe produziert, in der nachfolgenden Zeitscheibe gesendet und 
empfangen und wahrend der nachsten Zeitscheibe in der Empfangerstation weiterverarbeitet (Delivery-Delay 
minimal, Delivery-Jitter = 0). Das vorliegende Protokoli und das Time Triggered Protocol TTP [8J das ebenfaDs 
fOr Anwendungen im Kfz vorgesehen ist, kann Teil einer solchen durchgangig zeitgesteuerten Architektur sein. 15 

Durchgangig zeitgesteuerte Architekturen und Aire statischen Aktivitatszuteilungen beshzen groBe Vortefle, 
besonders im Hinblick auf redundante Stationery Sie weisen jedoch auch ein paar Probieme auf : 

— Wenn z. B. beim Transport Nachrichten gestort werden oder verloren gehen, bleibt fur eine emeute 
Obertragung keine Zeit TTP sieht in solchen Fallen konsequent die Ausgfiederung betroffen er Stationen 20 
vor. 

— Da jede Komponente in ihrem Zeitverhahen auf das Gesamtsystem abgestimmt sein muB, werden 
Kosten und Aufwand zum Problem* wenn eine zeitgesteuerte Architektur auf ein variantenreiches System 
bzw. Produkt angewandt wird und nicht auf ein Spezialprodukt Es wird sowohl fur unterschiedliche 
Fahrzeugtypen als auch fur verschiedene Ausstattungsvarianten verschiedene Konfigurationen der glei- 25 
chen Komponente geben. Das macht ein Konfigurationsmanagement beim Bau eines Kfz und beim nach- 
traglichen Einbau und Austausch von Komponenten erf orderlich. 

— In der Luft- und Raumf ahrt werden zeitgesteuerte Systeme eingesetzt, die beim Wechsel von Flugphasen 
sogenannte Mode Changes durchfuhren. Verschiedene Modi also unterschiedliche Vergabe von Sender- 
echten, sind in zeitgesteuerten Systemen notwendig, wenn ein System an eine veranderte Situation ange- 3D 
paBt werden muB. Mode Changes sind deshalb auch in TTP und PROSA vorgesehen. Die Durchfiihrung 
eines Mode Change bereitet jedoch im Storungsfall unter Konsistenz- und Realzeitgesichtspunkten groBe 
Probieme, auch wenn die Modi starken Beschrankungen unterworfen werden und nicht beliebige Modi 
gestattet sind. Sie konnen deshalb nur im stdrungsfreien Fall durchgefuhrt werden. Zudem muB jeder 
Modus von jeder Komponente, auch wenn sie selbst keine unterschiedlichen Modi bendtigt, mitgetragen 35 
werden. Das bedeutet, jede Komponente mufi prinzipiell in jedem Modus ihre Aufgabe erfuUen. Die 
internen zehlichen Ablaufe mussen mit den Modi konform gehen. 

Fazit 

40 

Das Protokoli soilte keine generefle Synchronisation mit der Anwendung erzwingen, sollte sie jedoch ermogli- 
chen, so daB Teile der Anwendung gleichzeitig zeitgesteuert, zeitgesteuert-protokollsynchron und ereignisge- 
steuert arbeiten konnen. 

Eine zeitgesteuerte, auch protokoDsynchrone Software-Ardiitektur kann fur ein sicheres und hochverfugba- 
res Kfz-Grundsystem, das z. B. aus einer redundanten Fahrerstation und vier Radmodulstationen besteht* 45 
sinnvoll sein. Alle anderen Teile* wie z. R die Stationen des Beleuchtungssystems, konnen ereignisgesteuert 
arbeiten. 

Mode Changes, also Sprunge in unterschiedliche Zeitscheibenvergaben wahrend des Betriebs, sollten nach 
Moglichkeit vermieden werden und nicht zum normalen Ablauf gehoren. 

Das erfindungsgemaBe Protokoli, also das Protokoli fur sicherheitskritische Anwendungen, wird im folgenden 50 
audi abgekurzt als PROSA bezeichnet 

1. Vorgaben, Randbedingungen 

Das Protokoli arbeitet f unktional unabhangig von der Anwendung und kann von letzterer in seinem Ablauf 55 
nicht beeinfluBt werden. Es stellt jeder Station ein gewisses MaB an Obertragungskapazitat pro Zeiteinheit zur 
VerfOgung. Solange die dort lokalisierte Anwendung innerhalb dieser Grenzen Transf erleistungen an fordert, 
kann eine maximale Obertragungszeh unter gegebenen Storbedingungen garantiert werden. Eine spezielle 
Konfiguration des Protokolls ist wegen der Unabhangigkeit von der Anwendung nicht notwendig. Die Koordi- 
nation der verschiedenen Zulieferer von Stationsmodulen bezuglich des Protokolls ist minimal und beschrankt 60 
sich auf die Verwendung einer abgestimmten, eindeutigen Stationsadresse und u. U. Subadresse. 

ProtokoD-Typ 

Das Protokoli basiert auf dem TDMA- Arbitrations verfahren: Time Division Multiple Access. Beim TDMA- 65 
Verfahren wird die Zeit in Zehscheiben unterteflt, die in alien Stationen weitgehend synchron gehalten werden. 
Jeder Station ist in einem TDMA-Zyklus eine eigene Zeitscheibe statisch zugeordnet. Innerhalb ihrer Zeitschei- 
be halt die Station das ausschlieBtiche Senderecht auf dem gemeinsamen Kommunikationsmediunx Dieses 
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Verfahren ist eff izient, wenn, wie in unserem Fall, die Anzahl der Kommunikationsteilnehmer und die Nachrich- 

tenlangen eher gering sind Beide Parameter sind, neben der Obertragungsrate der Hardware, die wirtschaftlich 

vertretbar sein muB, die bestimmenden Faktoren fur die Zugrif fszeit 

Ein groBer Vorteil von TDMA ist der deterministische Zugriff. Eine totale Blockade des Kommunikationssy- 
5 stems ist prinzipbedingt ausgeschiossen. Im fehlerfreien Fall kann jeder Station eine maximale Zeitdauer fur die 

Obertragung ihrer Nachrichten garantiert werden, wenn sie die ihr zugestandene Kapazitatsgrenze beachtet 

Um auch bei Storungen und Ausf alien eine Maximalzeitdauer beim Nachrichtentransport zu gewahrleisten, muB 

das einf ache TDMA- Verfahren zum Protokoll erweitert werden. 

Andere synchrone Protokolle, wie das Token-Bus-Protokoll [9] und seine Varianten, haben, im Gegensatz zum 
l0 TDMA-Protokoll, im Fehlerf all eine veranderte Zugriff szeit (Probleme: Tokenverlust und -generierung) oder sie 

stellen, wie das Token-Ring-Protokoll [10], die schwer zu erfullende Forderung nach einer aktiven Kommunika- 

tionsstrecke. 



Storungen 

15 Je hdher die Obertragungsgeschwindigkeit auf einer Kjommunikationsleitung ist, desto eher werden St5run- 
gen wirksam. Die moglichen Storungen, denen ein Kfz ausgesetzt ist und die die Einrichtungen im Kfz selbst 
produzieren, mussen entweder konstruktiv oder vom Protokoll beherrscht werden. Da sind zunachst stochasti- 
sche, auch burst-artige Storungen, die von auBen eingestreut werden, oder die von internen Schaltvorgangen 

20 stammen. Zum anderen gibt es auch interne oder vom Nachbarn kommende periodische Storungen, die sich auf 
den Ablauf eines periodischen Protokolls besonders ungunstig auswirken kdnnen. Dies sind beispielsweise 
Storungen durch Zundung und Generator, deren Periode sich auBerdem in Abhangigkeit von der Drehzahl 
andert Wenn solche Storungen auch nur zeitweilig durchschlagen — und dies kann z. B. auch durch Produk- 
tionsfehler, Aherungsfehler oder durch Wartungsfehler an den Entstorbauteilen geschehen — kann eine be- 

25 stimmte Drehzahl auf ein streng periodisch es TDMA-Protokoll eine fatale Wirkung haben. 

Beispiele 

Mdgliche Storquelle Zundung: 4 Zyiinder, 5000 U/min 
30 — ► Zundperiode: » 6 ms 
— ► ZOndimpuls: » 150 \xs 

versus TDMA-Protokoll: Datenrate 1 MBit/s, 32 Teflnehmer, 3 + 16 Byte Frame-Lange 
— ► Zykluszeh: » 6ms 

— ► Grbertragungsdauer der Nachricfat: w 150 ps 
as Das bedeutet, die Zundung kann eine bestimmte Zehscheibe im Zyklus eines simplen TDMA-Protokolls 

periodisch so stSren, daB die zugehdrende Station zwangslaufig ausgegliedert wird, weil ein permanenter Fehler 

angenommen werden muB. Da die Perioden von Protokoll und Zundung niemals exakt gleich sind, kann danach 

auch die nachste Station ausgegliedert werden. 
Mdgliche Storquelle Generator: 
40 Halbwellen bis 10 KHz = 100 us-Periode (18 000 U/min: 12-polig = 300 uV16-pohg = 200 us) 

Solche schnell-periodischen Storungen mussen konstruktiv so weit unterdruckt werden, daB sie nicht dauerhaft, 

sondern allenfalls statistisch wirksam werden, da sie anderenfalls in jeder TDMA-Zeitscheibe auftreten und 

deshalb wie eine pennanente Stdrung wirken. 

45 Festlegung der Randbedingungen 



— Topologie des Kommunikationssystems: 

Es wird ein bitserieller Bus — z. B. Koax- oder (abgeschirmte) Zwekirahtleitung — verwendet, dessen 
maximale Lange in etwa 100 m betragt und der redundant vorhanden sein kann. An die Busleitung sind die 
Teilnehmerstationen mittels Transceiver so angeschlossen, daB eine Blockade des Nachrichtenverkehrs 
durch permanenten Hardware-Fehler einer einzelnen Station ausgeschiossen ist. 

— Anforderungen an die Kommunikationsteilnehmer: 

Die Teilnehmerstationen besitzen eine Fehlervermeidungseinrichtung, die sicherstellt, daB ein Sendever- 
such auBerhalb der stationseigenen ZeitintervaHe abgefangen wird. Stationen sind weiterhin in der Lage, 
spezielle Signale (VETO) zu erzeugen, die auch unter starken Stdreinflussen mit sehr hoher Wahrscheinlich- 
keit erkannt werden. Die Signale haben eine so spezielle Auspragung, daB es nur selten dazu kommt, daB 
eine Stdrung als VETO-Signal interpretiert wird VETO-Signale mussen auBer ihrer Anwesenheit keine 
weitere Information ubermitteln. 

— Lange der Nachrichten, Nachrichten pro Zeiteinheit: 

Die benotigte Nachrichtenlange der Anwendungen liegt voraussichtfich zwischen einigen Bytes und einigen 
zehn Bytes. Sollen auch zukunftige datenintensive Anwendungen, z. B. Streckenfuhrung, uber dieses Kom- 
munikationssystem betrieben werden, ware der Einsatz einer Hochgeschwindigkeits-Hardware unumgang- 
lich. 

— Anzahl der Kommunikationsteilnehmer: 

Die aktuelle Anzahl der Teilnehmerstationen kann variieren. Die maximale Anzahl der Stationen, die 
Realzeit-Transportbedingungen fordern, kann bei den voraussichtiich erforderlichen Zugriffszeiten (unter 
10 ms), den vorgenannten Nutzdatenmengen und den heute gebrauchlichen Obertragungsgeschwindigkei- 
ten (1 bis 10 MBit/s) bei etwa 32 liegen. Wird Hardware mit groBerer Obertragungsgeschwindigkeit 
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eingesetzt, kann die maximale Anzahl der Stationen erhoht werden. 

— Qualitat des Nachrichtentransports (Verlust, Verdopplurig, Reihenfolge, Transportdauer): 

Das Anforderungsspektrum an die Kommunikation ist sehr breit. Anwendungen im Fahrzeug bendtigen je 
nachAufgabe 

— sehr schnellen BuszugrifT mit Ubertragungsgarantie, z. B. Bremssystem, 5 

— haufigen, eventuell periodischen Buszugriff,z. B. Motorsensorik, 

— oder seltenen Zugriff mit geringen Zeitanforderungen, z. B. Fenstersteuerung. 

Das ProtokoII muB also einerseits wichtige Nachrichten auch im Stoningsfall schnell mit Zeitgarantie 
transportieren, andererseits darf es unwichtige Nachrichten vernachlassigen. 

— Verbindungsart (synchron, asynchron), Kornmunikationsbeziehungen (1 zu 1,1 zu n): 10 
Nachrichten sollen aus Grunden der Konsistenz und Erweiterbarkeit des Systems broadcast gesendet 
werden, was eine verbindungsorientierte Arbeitsweise ausschlieBt Die Protokollmaschine arbeitet unab- 
hangig von der Anwendung, d. h. Anwendernachrichten werden entweder einzeln wartend (synchron) oder 
fiber Warteschlangen (asynchron) ubergeben und nach Mdglichkeit versendet Liegt keine Nacfaricht vor, 
handelt die Protokollmaschine nach eigenen Notwendigkeiten. 15 

— Art und Haufigkeit von Storungen aus der Umgebung: 

Das ProtokoII soli in stark gestorten Umgebungen mit haufigen, auch periodisch auftretenden Ubertra- 
gungsf ehlern, die mitunter burst-artig andauern konnen, zuverlassig arbeiten. Es soil permanente Fehler der 
Kommunikations-Hardware erkennen und den betroffenen Teilnehmer ausgliedern. Transiente Storungen 
sollen nicht zur Ausgliederung einer Station fuhren. Eine Station muB sich in das laufende ProtokoII 20 
eingliedem kdnnen. 

— Zulassige Storungen durch das Kommunikationssystem in die Umgebung: 

Bei Verwendung gekapseker Stationen und abgeschirmter Busleitungen konnen Storungen durch die 
Kommunikation in die Umgebung, sowie Storungen aus der Umgebung, stark reduziert werden. Das 
ProtokoII ergreift hierzu keine MaBnahmen. 25 

2. ProtokoII 

Aus Grunden der besseren Verstandlichkeit des Protokolls wurde in diesem Ideenpapier eine informefle 
Beschreibungsform gewahlt; eine OSI-konforme Beschreibung des Protokolls kann bei Bedarf erstellt werden. 30 
Das folgende Kapitel enthalt eine Kurzeinfuhrung in das ProtokoH Eine detaillierte Beschreibung, Protokollzu- 
stande und Regeln, sind in den anschlieBenden Kapiteln dargelegt 

2.1 Grundzuge des Protokolls 

Das TDMA- Arbitrationsverfahren wird unter der PhDosophie Silence is Consent zum Ko mmunik ationsproto- 
koll erweitcrt Dazu werden die Zeitscheiben jeder Station in zwei Zeitintervalle, ein Transferfenster und ein 
kurzes nachf olgendes Quittungsf enster, unterteOt Wird im Quitttmgsf enster "geschwiegen" gilt die vorangegan- 
geneSendungalsakzeptiert. . . 

Bild 1 zeigt die in ein Transferfenster und in ein Quittungsfenster unterteilten Zeitf enster als Prinzipbilcl nn 40 
ungestorten Betrieb. 

Quittungsfenster kein Manko 

Bei oberflachlicher Betrachtung wird durch die Einfuhrung des Quittungsfensters, auch wenn es nur wenige 45 
Bitubertragungszeiten dauert, Obmragungskapazitat verschenkt Dabei ist jedoch zu bedenken, daB jede reale 
Protokollmaschine (Protocol Controller) nach Empfang eines Frames eine gewisse Zeit benotigt, urn die Nach- 
richt zu uberprufen, an die Anwendung zu ubergeben und die eigene, nachf olgende Sendung zu praparieren. Es 
wird also, auch wenn einige Funktionen parallelisierbar sind, eine Pause zwischen zwei Frames geben. Protokoll- 
kontrolle, Obergabe und Praparation kdnnen bei geschickter Planung der Protokollmaschine wahrend des so 
Quittungsfensters durchgefuhrt werden. 

Ein Vorteil des Quittungsfensters ist seine Lage zwischen den Sendef enstern, die es nicht zulaBt, daB Storun- 
gen, die kurzer einwirken, als das Quittungsfenster breit ist, zwei aufeinander folgende Nachrichten-Frames 
zerstoren. Deshalb sollte das Quittungsfenster mindestens so breit sein wie die Dauer der haufiger vorkommen- 
den Storungen. 

Ablauf bei Storungen 

In Umkehrung bedeutet Silence is Consent: Wenn eine Station eine Stoning entdeckt, legt sie im Quittungs- 
fenster Einspruch in Form eines VETO-Signals ein. Im Fall, daB die sendende Station oder eine Station, die ein 60 
Nachrichten-Frarae korrekt empfangen hat, VETO erkennt — es kann sich in seltenen Fallen auch urn erne 
Storeinstreuung handeln, die als VETO interpretiert wird - sendet sie ebenfalls VETO. Diese Festlegung wird 
getroffen, um die Wahrscheinlichkeit, daB alle Stationen VETO erkennen, zu erhShen, sie dient auch der 
Sicherstellung der Konsistenz im System bei redundantem Bus mit einkanaligen Stationen. Das Senden von 
VETO-Signalen wird kurz vor Erreichen der neuen Zeitscheibe eingesteflt 65 

Nach einer Stoning wird ein Rekonfigurationszyldus durchlaufen. Er dient der Ermittiung der Fehlerursache 
und ggf. der Lokalisation und Ausgliederung einer defekten Station. Im Zyklus werden spezieOe Rekonfigura- 
tions- Frames gesendet (im Bild grau unterlegtX die jedoch ebenfalls Anwendernachrichten enthalten. Inkorrek- 
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ter Empfang im Zyklus wird ebenfalls durch VETO markiert Handelt es sich urn einen Fehler des Senders 
(BUd 2) oder urn eine Stoning, die noch wahrend des Zyklus abklingt (Bild 2 und 3), werden die in den Frames 
enthaltenen Anwendernachrichten weitergeleitet 

In Bild 2 ist eine Einzelstdrung dargestellt 

Bild 3 zeigt demgegenuber eine anhaltende Stoning. 

Zum AbschluB des Rekonfigurationszyklus wird der normale Betrieb wieder aufgenommen. Spatestens nach 
der erneuten Sendung in der initial gestdrten Zeitscheibe (Bild 4: Zehscheibe des Node 0) wurde auch die 
Ausgliederung einer ausgefallenen Station oder einer Station rait permanentem Fehler im Sende- oder Emp- 
fangskanal geschehen. Jede Station fuhrt dazu lokal einen Systemzustandsvektor, in dem sie laufend den 
aktuellen Zustand der Partnerstationen eintragt Diese Information (membership service) stent auch der Anwen- 
dung jederzeit konsistent zur Verfugung. 

Bild 4 zeigt den Ausfafl einer Station bzw. einen permanenten Sendef ehler. 

Z2 Zeitscheibenvergabe, Zykluswechsel (Mode-Change) 

In einem TDMA-Zyklus besitzt jede Station, die Nachrichten versendet mindestens eine Zeitscheibe^ in der 
sie sendeberechtigt ist Da nicht aile Stationen gleichberechtigt behandelt werden mussen, kann — unter 
Wahrung der vorgenannten Aussage — eine problemangepaBte Zeitscheibenvergabe im TDMA-Zyklus ge- 
wahlt werden. So konnen redundante Stationen oder Stationen, die kurzere Zugriffszeiten bendtigen bzw. 
groBere Inf ormationsmengen zu ubertragen haben, zwei oder mehr Zeitscheiben im TDMA-Zyklus besitzen. Als 
Beispiel sei eine Zeitscheibenvergabe vorgestellt, die ein Kfz-Orundsystem (0 Fahrerstation, 1. . A Radmodule) 
be vorzugt und Rechenzeit nach der Kommunikation vorsieht, in der andere Stationen (5, 6, 7, 8) senden: 

...4 8IQ512a46£1712a4 8ia5.„ 

Die Zeitscheibenvergabe muB jedoch global und konsistent im Kommunikationssystem bekannt sein. Sie wird 
im folgenden als statisch vorgegeben angenommen. FOhrt man den Oedanken der Anpassung der Kommunika- 
tion weiter, kommt man zu dem Wunsch mehrere unterschiedliche TDMA-Zykien im System zur Verfugung zu 
haben. Damit gelangt man zum Problem des Zykluswechsels oder Mode-Change. LaBt man Mode-Changes zu, 
sollte man sich daruber im Klaren sein, daB ein Time-Guardian — das ist eine von der Protokollmaschine 
unabhangige Hardware-Einrichtung, die sicherstellt, daB Sendeversuche auBerhalb der stations-eigenen Zehin- 
tervalle abgefangen werden — notwendigerweise komplexer wird 

Zykluswechsel in PROSA werden auf Anforderung der Applikation einer Station wtrksam, wenn der neue 
Zyklus bei alien anderen aktiven Stationen von Hirer Applikations-Software freigegeben wurde und sie deshaib 
kein VETO eingelegen. Der neue TDMA-Zyklus beginnt nut der angeforderten Zeitscheibe. 

23 Redundante Kommunikations-Hardware 

Wenn die Protokollmaschine von vornherein zwei Eingangskanale besitzt, kann bei Bedarf ein zweiter 
Transceiver angeschlossen werden, der eine zweite Busleitung ankoppelt Im Fall eines permanenten Fehlers 
eines Transceivers oder einer Busleitung kann bei redundanter Auslegung die Kommunikation aufrecht erhalten 
werden und das Kfz bleibt f ahrfahig. Sind aBe Teile in Ordnung, ist die Wahrscheinlichkeit fur die Wirlsamkeit 
einer Obertragungsstorung herabgesetzt Dies ist zwar begruBenswert, fur das Protokoll jedoch von geringerem 
EinfluB, da auch mit einer Leitung und einem funktionsiahigen Transceiver der Betrieb bei auftretenden 
Storungen unbedingt sichergestellt sein mufi. Dies ist besonders kritisch, worn trotz Warnung (zur Werkstatt) 
weitergefahren wird Festlegung: 

1. Eine Station sendet im Normalfall auf beiden Kanalen zeitgleidi Nadirichten-Frames und ggt VETO-Si- 
gnale. Die Obertragung eines Frames gilt zunachst als erfolgreich, wenn eine Station mindestens eines der 
redundanten Frames, egal von welcher Leitung, korrekt empfangt Wird nachfolgend auf einer der beiden 
Leitungen VETO erkannt — eine andere Station hatte keinen korrekten Empfang — gilt die Obertragung 
alsgeschettert 

2. Der gleichzeitige Betrieb von Stationen, die beide Leitungen eines redundanten Busses betreiben, und 
solchen, die (ausf aUbedingt) nur eine Leitung betreiben, ist zulassig. 

2A Frame-Format (Rahmen-Format) 

Anwendernachrichten werden in Frames "emgerahmf' versendet Unter Verwendung eines selbsttaktenden 
Codes bei der physikalischen Obertragung kann Bit-Stuffing im Frame unterbleiben, wenn ein Endekenner des 
Frames unnotig ist Bei variablen Nachrichtenlangen hat man die Wahl, die Endekennung durch Interframe-Spa- 
dng (Ruhe auf der Leitung) sicherzustellen oder am Anfang des Frames eine Langenangabe mhzusenden, die 
dann aber die Empfangs-Hardware auswerten muB. Damit ist jedoch, wie beim Bit-Stuffing, der Nutzinforma- 
tionsanteil verringert Auch die Tatsache, daB die Lange aller Nachrichten zur Compile-Zeit eines Gesamtsy- 
stems bekannt ist kann von der Protokollmaschine genutzt werden, indem sie diese Langenangaben zur 
Imtialisierungszeiteinliest 

Bei variabler Frame-Lange hat man in jedem Fall den Nachteil, daB sowohl die Protokollmaschine als auch der 
bereits erwahnte Time-Guardian komplexer werden. Die einfachste Methode, die zunachst im Prototyp verwen- 
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det werden soil, besteht darin, Frames konstanter Lange zu senden, wodurch auch alie Zeitscheiben die gleiche 
Lange aufweisen. 

Frames bestehen aus folgenden Feldern: 



Preamble/Start 



F 


E1 
C 


E2 
S 


M 


R 


I 


B 


X 



Message 



CRC 



ProtokoB-Byte 



Beispiel 

S-Bit(N-Frame s ikc^)siicc-conWi-n,o+i,D+2. ..:{.- ^110...} a slice 2 



10 



Preamble/Startdelimiter: 
Dient zur Synchronisation der Empf anger. 

F Frame type (1 Bit): 
Normal-Frame, Recovery-Frame 

El, E2 Error flags (2 Bit) im Recovery-Frame: 15 
gesetzt, wenn ein Empfangsf efaler auf dem assoziierten Bus auf getreten ist 
C Cycle number (1 Bit) im Normal-Frame: 

Alle aktiven Stationen ubermitteln uber das C-Bit in den Normal-Frames auf einander folgender Zeitscheiben die 
Nummer des aktuellen TDMA-Zyklus (Mode). Eine Sequenz besteht aus einer Reihe von Normal-Frames mit 
gesetztem C-Bit, die von Normal-Frames mit geldschtem C-Bit begrenzt werden. Die Summe der Frames mit 20 
gesetztem C-Bit ergibt die Nummer des Zyklus. Beispiel: 

C-Bit(N-Framesfice)sUce-n,n+i,n+2...:t..0ia.4 ^ Zyklusl 

Die Kenntnis der aktuellen Zyklusnummer ist notwendig, wenn sich eine neu aniaufende Station in den 25 
laufenden Protokoflbetrieb Integrieren wilL Eine Stoning macht die Obermittlung ungultig. 

S Slice number (1 Bit) im Normal-Frame: 
Eine Stationen ubermittelt uber das S-Bit in ihren Normal-Frames standig die Nummer der Zeitscheibe, in der 
sie gerade sendet, und damit implizit — unter Kenntnis der aktuellen Zyklusnummer — auch Dure eigene 
Stationsadresse. Eine Sequenz besteht aus einer Reihe von Normal-Frames mit gesetztem S-Bit, die von 30 
Normal-Frames mit geldschtem S-Bit begrenzt werden. Die Summe der Frames mit gesetztem S-Bit ergibt die 
Nummer der Zeitscheibe. 



35 



Die Kenntnis der Zehscheibennummer ist notwendig, wenn sich eine neu aniaufende Station in den laufenden 
Protokollbetrieb integrieren will und ihre eigene Zeitscheibe besdmmen muB. Eine Stoning macht die Obermitt- 
lung ungultig. 40 

M Message type (1 Bit): 

Protokoll-Nachricht {Type: NULL, INIT, CHMODE, INTEGRATE. .), 
Applikationsnacfaricht 

Protokollnachrichten werden wahrend der Initialisierung, Eingliederung und im Betrieb gesendet; letzteres, 
wenn keine Anwenderaachricht vorliegL 45 
R Redundant OK (1 Bit): 

gesetzt als Bestatigung von der aktiven redundanten Station, wenn eine Zwillingsstation eine erfolgreiche 
Eingliederung versucht hat 
I Input error (1 Bit): 

gesetzt, wenn einer der Eingangskanale der Sendestation permanent defekt ist (unterstutzt Systemmonhoring). 50 
BBus mode(l Bit): 

spiegelt den aktuellen Sendemodus der Station; wenn gesetzt sendet die Station auf beiden Bussen gleichzeitig. 
Message: 

Dieses Feld enthalt die Anwendernachrichten, die unterschiedlich lang sein konnen. Bei geringer Lange konnen 
u. U. mehrere Nachrichten in einem Frame transportiert werden. Eine groBe Nachricht muB in mehreren Frames 55 
versendet und wieder zusammengesetzt werden. Da die Stationsnummer eines Absenders eindeutig feststeht, 
kann auf eine Anwendertypkennung in der Nachricht verzichtet werden, wenn ein Absender nur einen Nach- 
richtentyp produziert 

Im Nachrichtenfeld von Protokollnachrichten ist der Typ, die Nummer des augenblickiichen Zykluses, die 
Position der augenblickiichen Zeitscheibe im Zyklus, der stationsgefuhrte Zustandsvektor des Kommunikations- 60 
systems und eine Prufsumme uber die Zeitscheibenvergaben eingeschrieben. 
CRC: 

Der Cyclic Redundancy Check uberdeckt das Protokoll-Byte und die Nachrichten im Frame, Er wird parallel 
zum Senden generiert und angefugt und parallel zum Empfang generiert und uberpruft Um eine zuverlassige 
Fehlererkennung zu gewahrleisten, sollte der CRC mindestens eine Bit-Lange aufweisen, die der maximalen, in 65 
der Praxis vorkommenden Lange einer (schnellen Mehrfach- oder Burst-) Stoning entspricht 
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3. Die Protokollmaschine 



Der Nachrichten-, Kommando- und Informationsaustausch von An we nder-CPU und Protokollmaschine ge- 
schieht fiber einen Dual Port RAM (DPR). Die Anwendung kann daher nicht in den Protokollablauf eingreif en. 
Das AnschluBschema der Protokollmaschine sieht im Prinzip wie in Fig. 5 dargestellt aus: 
Die Protokollmaschine besitzt auf der Netzwerkseite zwei serielle Eingange und einen Ausgang zum direkten 
AnschluB zweier Transceiver. Die Sendeverstarker der Transceiver werden durch zwei separate Signalieitungen 
ein- oder abgeschaltet Die Protokollmaschine hat keine Kenntnis, ob tatsachHch redundante Busleitungen 
angeschlossen sind, arbeitet jedoch nach Voreinstellung in diesem Sinne. 1st nur ein Transceiver und Bus 
angeschlossen oder ein Kanal def ekt, andert das am Protokollablauf nichts, lediglich die Wahrscheinlichkeit, daB 
eine Stoning wirksam wird, vergroBert sich. Ob eine VETO-Leitung notwendig ist oder VETO als spezielles 
Signal auf der Transmit-Leitung gegeben wird, hangt von der Realisierung des VETO-Signales ab; die Leitung 
geht — wenn vorhanden — an beide Transceiver. 



Die Anwendungsschnittstelle ist auf die oben beschriebene Dual-Port-Ankopplung bezogen. Bei Verwendung 
eines anderen Schnittstellentyps sind die folgenden Ausfuhrungen sinngemaB zu ubertragen- 



Die Protokollmaschine ladt direkt nach dem Einschalten ihre Zustandsvariable im DPR mit dem Wert 
PENDING und durchlauft dann ihre Initialisierung und ihren Selbsttest Danach signalisiert sie SUCCESS oder 
FATAL_ERROR- Bei SUCCESS kann von der Anwendung der Startauftrag in die Kommandovariable geschrie- 
ben werden und die Protokollmaschine startet in die Initialisierung oder in den Passivbetrieb (nur Empfang). Vor 
dem Auftrag wird von der Anwendung die Stationsadresse, die Nummer des Zyklus, der nach der Initialisierung 
angesprungen werden soli, und die Zyklusinformation im DPR eingetragen, letztere wird durch eine Prufsumme 
geschutzt Nach AbschluB ihrer Operationen informiert die Protokollmaschine die Anwendung uber ihren 
Zustand: SUCCESS* EXCLUDED (vom Senden ausgeschlossen) oder FATALERROR und stellt der Anwen- 
dung die aktuellen Protokollinformationen, wie z. B. Nummer der Zeitscheibe und Nummer des Zykhis, fiber den 
DPR bereh. Die Protokollmaschine kann jederzeit uber die Kommandovariable aufgefordert werden, in den 
Normalbetrieb oder in den Passivbetrieb umzuschalten. 



Es existieren zwei Variablen, die den Kommandozyklus steuern, Die Variable AcceptCycle muB auf alien 
Stationen von der Applikation mit der Nummer des neuen Zyklus geiaden werden, bevor die Applikation auf 
einer Station ihre Protokollmaschine durch Laden der Variablen InitCycle veran&Bt, das Gesamtsystem in den 
anderen Zyklus zu versetzen. 



Die Protokollmaschine kann jederzeit uber die Variable SendMode in einen anderen Sendemodus geschaltet 
werden. Zur Unterstutzung der Arbeit redundanter Stationen stehen folgende Modi zur Verf ugung: 
SENDNONE: nicht senden (jedoch VETO) 

SEND_ANY; in jeder Zeitscheibe auf beiden Bussen senden (Voreinstellung), beim Senden wird das B-Bit im 

Protokollbyte gesetzt 

SEND BUS 1/2: auf Bus 1/2 senden 

SEND JEVEN/ODD: in gerader/ungerader Zeitscheibe auf beiden Bussen senden 
SEND CROSSWISE1 : in gerader Zeitscheibe auf Bus 1, in ungerader auf Bus 2 senden 
SEND~CROSSWISE2: in gerader Zeitscheibe auf Bus 2, in ungerader auf Bus 1 senden 
SENDBUS1EVEN: in gerader Zeitscheibe auf Bus 1 senden 
SEND BUSIODD; in ungerader Zeitscheibe auf Bus 1 senden 
SEND BUS2EVEN: in gerader Zeitscheibe auf Bus 2 senden 
SEND BUS20DD: in ungerader Zeitscheibe auf Bus 2 senden 



Die Sendeverwaltung besteht aus einer Struktur (Ring oder FIFO) mit je zwei Eintragen pro Sendung: 
Speicheradresse und Ruckmeldevariable. Mit jedem Sendeauftrag wird die Speicheradresse der Anwendernach- 
richt in den Sendering geschrieben. Die Ruckmeldevariable wird von der Anwendung auf den Wert PENDING 
gesetzt m 

Beim synchronen oder wartenden Sendeauftrag wird die Anwendung die Ruckmeldevariable abfragen, beun 
asynchronen Sendeauftrag erwartet sie moglicherweise einen Interrupt, sobald eine Nachricht ubertragen ist 
oder verworf en wird. 

Folgende Ruckmeldestati konnen vorliegen: 
PENDING: Nachricht wurde noch nicht ubertragen 
SUCCESS: Nachricht wurde ubertragen 



3.1 Protokollschnittstelle zur Anwendung 



Startauftrag, Zustandswechsel 



Zykluswechsel 



Sende-Modi 



Sendeauftrag/Sendestatus 
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TRANSFER_ERROR: Nachricht wurde ubertragen, jedoch durch VETO invalidiert 
EXCLUDED: N. nicht ubertragen, weil selbst vom Senden ausgeschlossen 
FATALJERROR: N. nicht ubertragen, eigene Kommunikation permanent defekt 

Empfangsauftrag/Empfangsstatus 5 

Mit dem Empfangsauftrag wird der Protokollmaschine ein Verwaltungsvektor ubergeben, der auf jeweils 
zwei Empf angspuf fer fur die Nachrichten beider Busse pro Zeitscheibe verweist, oder NULL enthah, wenn kein 
Empfang erwunscht ist Der Vektor enthalt auBerdem die Empfangsstati jeder Zeitscheibe. 

Beim synchronen Empfang wird die Anwendung den Empfangsstatus abfragen, ob eine Nachricht eingetrof- 10 
fen ist; beim asynchronen Empfang erwartet sie moglicherweise einen Interrupt Der Empfangsstatus besteht 
aus dem Transferstatus und den 2 Protokoll-Bytes der Busse. 

Der Transferstatus kann folgende Werte annehmen: 
PENDING Beginn der Nachrichtenubertragung 

SUCCESS: mind eine Nachricht wurde korrekt empfangen 15 
NO_MESSAGE: Es wurde keine Anwendernachricht gesendet 
TRANSFER ERROR: Es wurde kein Frame (korrekt) empfangen 
FATALJSRROR: eigene Kommunikation permanent defekt 
Folgender Wert ist ausschlieBlich im Passivbetrieb moglich: 

MESSAGEERROR: keine korrekte Nachricht erhalten, wurde global nicht invalidiert 20 
AuBerdem sind folgende Zusatzanzeigen im Status von groBem Interesse: 
VETO: Zeitscheibe wurde global invalidiert 

SYSCHANGE: eine Station wurde vom Senden ausgeschlossen oder hat den Normalbetrieb (wieder)auf genom- 
men 

EXCLUDED: Eigner der Zeitscheibe ist vom Senden ausgeschlossen 25 
BUS1 ERROR: Nachricht wurde auf Bus 1 nicht oder inkorrekt empfangen 
BUS2ERROR: Nachricht wurde auf Bus 2 nicht oder inkorrekt empfangen 



Interrupt; Interrupt-Freigabe 



30 



VoreinstellungsmaBig sind alle Ereignisse, die den Interrupt ausidsen konnen, maskiert und mussen von der 
Anwendung freigegeben werden (Interrupt-Mask- Variable). Die Protokollmaschine schreibt am Ende der Zeit- 
scheibe die Ereignisse in die Ereignisvariable und generiert einen Interrupt 

Wenn das korrespondierende Typ-Bit in der Maske gesetzt ist wird der Interrupt: 
NEXTSLICE: ausgeldst, wenn die nachste Zeitscheibe beginnt 35 
RX_READY: ausgeldst, wenn eine Nachricht eingetroffen ist 

TX_READY: ausgeldst, wenn eine eigene Nachricht gesendet oder verworfen wurde 

VETO: ausgeldst, wenn im Quittungsfenster einer aktiven Station invalidiert wurde (ermoglicht auch das Fuhren 
einer Fehlerstatistik) 

SYSCHANGE: ausgeldst; wenn irgend eine Station vom Senden ausgeschlossen wurde oder den Normalbetrieb 40 
(wieder)auf genommen hat oder eine Anderung im ReceiveState einer Station auftritt 
EXCLUDED: ausgeldst, wenn die eigene Station vom Senden ausgeschlossen wurde 
INCLUDED: ausgeldst, wenn die eigene Station eingegliedert wurde. 

MODECHANGE: ausgeldst, wenn ein Zustandswechsel durchgef uhrt wurde 
In einer zeitgesteuerten Architektur (TTA) ist nur der Interrupt NEXTSLICE von Bedeutung, mit dessen Hilfe 45 
die Anwendung mit dem Protokoll synchronisiert wird. Alle weiteren Informationen konnen der Ereignisvariab- 
len entnommen werden. 
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Lesen des aktueDen Systemzustands 

Der Systemzustandsvektor, der Zustand der eigenen Protokollmaschine, die aktueDe Zeitscheibennummer 
und die aktuelle Zyklusnummer konnen jederzeit gelesen werden. Die Variablen werden jeweOs kurz vor Beginn 
einer neuen Zeitscheibe aktualisiert und sind mit Beginn jeder neuen Zeitscheibe (NEXTSLICE) konsistent 

32 Arbeitsweise der Protokollmaschine 55 

Die Protokollmaschine arbeitet nach folgendem Zustandsdiagramm, das inBild 6 dargesteHt ist: 
Nach Einschalten und auf Anforderung der Anwender-Software geht die Protokollmaschine in die Initialisie- 
rung. In der Initialisierungwerden andere Kommunikationsteflnehmer angesprochen und ein TDMA-Zyklus 
aufgebaut Im AnschluB wechselt die Protokollmaschine in den Normalbetrieb oder, wenn von der Appiikation eo 
gewunscht, in den Passivbetrieb. Der Passivbetrieb gestattet der Anwendung ein Mithoren der Nachrichten; die 
Protokollmaschine ist jedoch nicht sendeberechtigt Wenn bereits ein Zyklus von anderen Stationen aufgebaut 
wurde, wechselt die Protokollmaschine von der Initialisierung uber den Zustand EingGederung in den Normal- 
betrieb. Auch aus dem Passivbetrieb heraus kann auf Veranlassung der Anwendung uber die Eingliederung der 
Wechsel in den Normalbetrieb erfolgen. Ein Obertragungsfehler versetzt die Protokollmaschine aus dem 65 
Normalbetrieb in den Zustand Rekonfiguration. Es wird ein Rekonfigurationszyklus durchlauf en, in dem festge- 
stellt wird, ob ein permanenter Fehler vorliegt. Die Protokollmaschine wechselt, wenn sie von einem solchen 
Fehler betroffen ist, in den Passivbetrieb. Nach Fehlerstatistik und erfolgreichem Selbsttest kann eine erneute 
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Eingliederung versucht werden, oder sie kann abschaltet werden. 

4. Festiegungen und Regeln 

Die nachfolgenden Festiegungen und Regeln sind zugleich Implementierungsvorschriften fur die Protokoll- 
maschine. Sie werden teilweise durch Zeitdiagramme erganzt,die das resultierende Verhalten des Kommunika- 
tionsgesamtsystems — bezuglich der Regeln — versinnbildlichen. Der Begriff "Station" wird synonym fur 
"Protokollmaschine" verwandt. 

Protokollgrundregeln 
Regel 1 

Stationen erhalten eine sie eindeutig kennzeichnende numerische Adresse T. Stationen haben auBerdera 
Kenntnis von alien TDMA-Zyklen (Modes), die im Betrieb vorkommen konnen. Jeder Zyklus besteht aus einer 
Reihe von Zeitscheiben, die bestimmten Stationen zugeordnet sind- In einem Zyklus konnen mehrere Zeitschei- 
ben einer Station zugeordnet sein. Die Zyklen sind statisch f estgelegt und alien Stationen konsistent bekannt 
Eine Station T im aktuellen Zyklus V besitzt in alien Zeitscheiben der Nummer "s* mit owner(c^) = i das 
Senderecht; im Fall owner(c^) & i darf sie nicht senden. 

Regel 2 

Eine Station besitzt normalerweise aus Redundanzgrunden zwei Kommunikationskanale (Transceiver), die 
mit zwei Busleitungen verbunden sind. Beim Senden werden deshalb per Voreinsteliung (default) beide Sendeka- 
nale selektiert Davon unberuhrt ist jedoch der gleichzeitige Betrieb von Stationen, die real auf zwei Kanalen 
senden und empfangen, und solchen, die nur einen Kanal zur Verfugung haben (gewollt oder defekt), zulassig. 
Stationen im redundanten Betrieb selektieren nach Auffordenmg durch die Anwendung beim Senden ihrer 
Nachrichten nur einen oder keinen Kanal siehe Regel 38. Alle Frames einer Station reflektieren fiber das B-Bit 
des ProtokoIIbyte ihren aktuellen Sendemodus. Diese Information ist der Empfangssehe der Anwendung zu- 
30 ganglich. 

Regel 3 

Ein Empf angsf ehler Hegt vor, wenn in einer Zeitscheibe von einem Empf anger kein Frame empfangen wurde 
oder kein Frame korrekt empfangen wurde (frame error, crc error). Bei Empfang eines korrekten Frames gilt die 
Obertragung als erf olgreidL 

Stationen, die einen Empf angsf ehler erkannt haben, senden im nachfolgenden Quittungsfenster grundsatzlich 
VETO. Eine Station selektiert beim Senden von VETO grundsatzlich beide Kanale. Dadurch wird bei redundan- 
tem AnsdiluB auf beiden Leitungen VETO gesendet Stationen, die nach Regel 1 in keinem Zyklus eine 
Zeitscheibe besitzen, sind uberhaupt nicht berechtigt zu senden und durfen auch kein VETO senden. 

Regel 4 

Eine Station, <!Ue im Quittungsfenster VETO erkennt, sendet ebenfalls bis zum Ende des Quittungsf ensters auf 
45 beiden Kanalen VETO (auch wenn sie ein korrektes Frame empfangen hat). Dadurch wird die Konsistenz mit 
einkanalig def ekten Stationen sichergestellt Das Quittungsfenster ist aus dieson Grund mindestens doppelt so 
groB wie die Zeitdauer fur das Erkennen des VETO-Signals. (Jedoch auch mindestens so groB, wie die haufiger 
vorkommenden Stdrungen). 
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Regel 5 

Jede Station fuhrt einen Systemzustandsvektor, in dem der Zustand aller Stationen auf dem letzten Stand 
gehalten wird. Stationen sind excluded oder included gesetzt. 

Regel 6 



Empfangt eine Station auf einem Kanal von mehr als der Halfte der induded gesetzten Stationen keine 
korrekten Frames, setzt sie den Kanal undefined. Es besteht der Verdacht einer Busunterbrechung oder eines 
KurzscUusses. Sie setzt den Kanal ok, sobald sie (wieder) mehr als die Halfte der Stationen auf dem Kanal 
60 korrekt empfangt 

Regel 7 

Ist einer der Kanale undefined gesetzt, werden alle eigenen Frames mh gesetztem 1-Bit im ProtokoIIbyte 
65 gesendet, so daB dies fur alle Stationen sichtbar wird. Die Information wird der Anwendung fiber den Empfangs- 
status gemeldet. 
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Nacfarichtenregeln 
Rege! 8 

Die Protokollmaschine holt eine Anwendernachricht, sobald ihre Zeitscheibe erreicht wird, oder sie generiert 5 
eine Protokollnachricht vom Typ NULL, wenn keine Nachricht vorliegt Protokollnachrichten enthalten die 
Nummer des aktuellen Zyklus, die Position der augenblicklidien Zeitscheibe im Zyklus, den aktuellen Systemzu- 
standsvektor und eine geeignete Prufsumme uber die Zyklen. 

RegeI9 10 

Sind in einem korrekt empfangenen Frame Anwendernachrichten enthalten, werden sie nach Ablauf des 
Quittungsfensters der Anwendung ubergebecu Jeder Nachricht wird im Empfangsstatus ein Transferstatus 
mitgegeben. Der Transferstatus enthalt u. a. eine Information, ob die empfangene Nachricht systemweit invalid 
diert oder von alien aktiven Stationen akzeptiert wurde (VETO). 15 

4.1 Normalbetrieb 

ProtokoIIregeln 

Kegel 10 



Regell3 
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Im Normalbetrieb werden von alien aktiven Stationen Normal-Frames (N) in ihrem Zeitfenster gesendet 
(Siehe auch Regel 8 und 9\ Normalbetrieb besteht, solange alle aktiven Empfanger in den Zeitfenstern included 
markierter Sender (mindestens) ein Normal-Frame korrekt empfangen, wie aus Bild 7 zu ersehen ist 25 

Regel 11 

Im Qtrittungsfenster ciner excluded gesetzten Station wird nach Regel 3 VETO gesendet. In diesem Fall wird 
von alien Stationen der Normalbetrieb f ortgesetzt (Siehe auch Rege! 34). Dieses ist in Bild 8 dargesteflt. 30 

Regel 12 

Die included gesetzten Stationen ubennitteln uber das Cycle-Bit im ProtokoO-Byte kontinirierlich die Num- 
mer des augenbtickiichen Zyklus. Die erste Station beginnt mit einer 0 im Cycle-Bit, die Nachfolger senden dann 35 
nacheinander so oft eine 1, bis die Nummer des Zyklus erreicht ist Danach sendet die nachste Station wieder 
eine 0 usw, siehe auch Regel 20 (Gegenpart). Beim Veriassen des Normalbetrieb oder nach Senden einer 
Protokollnachricht wird der Mechanismus zuruckgesetzt, bis er mit dem ersten ungestorten Normal-Frame (das 
logischerweise eine 0 im Cycle-Bit enthalt) wieder einsetzt. ^ 



40 



Eine Station Qbermittelt in ihrei(n) Zeitscheibe(n) Qber das Slice-Bit im Normal-Frame die Nummer der 
augenblicklichen Zeitscheibe (und damit implizit ihre Stationsadresse). Sie beginnt mit einer 0 im Slice-Bit und 
sendet danach in der gieichen Zeitscheibe so oft eine 1, bis die Nummer der Zeitscheibe erreicht ist Danach 45 
beginnt sie von vom. Gegenpart: Regel 21. Beim Veriassen des Normalbetrieb oder nach Senden einer Proto- 
kollnachricht wird der Mechanismus zuruckgesetzt, bis er mit dem ersten ungestorten Normal-Frame der 
Station wieder einsetzt 

4.2 Rekonnguration 50 

Wenn die im Zustand Normalbetrieb gesendeten Frames eines included gesetzten Senders von mindestens 
einem Empf anger nur gestort oder gar nicht empfangen wurden, durchlaufen alle Stationen einen Rekonfigura- 
tionszyklus. Fur eine solche Storung kommen folgende Ursachen in Betracht: 

55 

1. Storeinstreuung, 

2. total ausgef allene Station, 

3. Station(en) mit defektem(n) Empf angskanal(kaiialenX 

4. Station mit def ektem Sendekanal, 

5. Trennung oder KurzschluB der Busleitung(en), die sich in Form von Station(en) mit Totalausfall und/oder 60 
in Form von Station(en) mit def ektem Empf angskanal zeigt 

Die Rekonfiguration soil permanente Storursachen beseitigen, soil jedoch im Fall transienter Storungen keine 
Station f alschlicherweise ausgliedern. In den Fallen 1 bis 4 ist eine eindeutige Ursachenfindung moglich, das heifit 
die Entscheidung ob und welche Station ausgegliedert werden muB, kann eindeutig und korrekt getroffen 65 
werden. Unter den geforderten Realzeitbedingungen kann eine derart korrekte Entscheidung — wenn es eine 
gibt — im Fall 5 nicht garantiert werden. Es ist jedoch moglich, die Eintrittswahrscheinlichkeit fur den Fall 5 
durch Verwendung redundanter Busleitungen und durch Warning gegen Null zu bringen* 

11 
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Ira RekonfigurationszykJus werden ausschlie&lich Recovery-Frames gesendet, die in ihren Error-Flags einen 
Teil der Information tragen, die zur Ursachenfindung notwendig ist. Fur die Rekonfiguration sind drei Stations- 
variablen relevant: 

5 — Ober die Error-Flags im Recovery-Frame informiert die Station alle anderen Stationery ob sie beide 

Frames des eingangs gestorten Senders inkorrekt empf angen hat 

— In der Variablen ReceiveOneOk merkt sich die Station, ob sie im Rekonfigurationszyklus mindestens ein 
Frame von einer anderen Stationen korrekt empfangt 

— In der Variablen OtherDisturbed merkt sich die Station, ob mindestens eine andere Station (ebenfalls) 
10 beide Frames des eingangs gestorten Senders inkorrekt empfangen hat. 

Die Stationen treffen nach Ende des Rekonfigurationszyklus ihre Entscheidung. An der Entscheidung beteiligt 
sind die Empfanger, die das Frame des eingangs gestorten Senders, der im AnschluB an den Rekonfigurationszy- 
klus erneut sendet, gestdrt empfangen haben. Von diesen gliedern sich die Stationen aus, die von keinem Sender 
15 ein korrektes Frame empfangen haben oder die als einzige von den wiederholt gestorten Frames des Senders 
betroffen waren. Alle anderen an der Entscheidung beteiligten Empfanger signalisieren das Aus des eingangs 
gestorten Senders durch Aussenden des VETO-Signals. 
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Regel 14 

Stent eine Station im Normalbetrieb f est, da& im Quittungsf enster einer Station VETO gesendet wurde, die im 
Systemzustandsvektor included gesetzt ist, fuhrt sie nachfolgend einen Rekonfigurationszyklus durch. (Im Re- 
konfigurationszyklus werden grundsatzlich keine CHMODE-Nachrichten gesendet). 

25 al) Zu Beginn des Rekonfigurationszyklus setzen Stationen, die bei der vorangegangenen Sendung einen 

Obertragungsf ehler festgestellt, ihre Variablen wie folgt 

— beide Error-Flags im Recovery-Frame TRUE (Rl), 

— ReceiveOneOK = FALSE, 

— OtherDisturbed = FALSE. 

30 a2) Stationen, die mindestens ein korrektes Normal-Frame empfangen haben, setzen ihre Variablen 

— mind, ein Error-Flag im Recovery-Frame FALSE (R0), 

— ReceiveOneOK «= TRUE, 

— OtherDisturbed « TRUE. 

bl) Alle included gesetzten Stationen senden im Rekonfigurationszyklus in ihrer/n Zeitscheibe/n ein Reco- 
35 very-Frame mit den zuvor gesetzten Error-Flags (R0/R1). Dies gilt nicht fur den eingangs gestorten Sender, 
wenn er mehrere Zeitscheiben im Zyklus besitzt; er sendet ein Normal-Frame (N). (Siehe auch Regel 8 und 
9). 

Stationen, die im Zyklus einen Obertragungsf ehler bemerken, senden — wie in Regel 3 vereinbart — VETO, 
so daB bei der Auslief erung von Nachrichten an die Anwendung die globale Sicht gewahrleistet bleibt 
40 b2) Bei korrektem Empfang eines Frames — egal ob durch VETO invalidiert — setzen die Empfanger ihre 

Variablen 

— ReceiveOneOk = TRUE (ein Frame wurde korrekt empfangen) und, wenn beide Error-Flags im 
Recovery-Frame TRUE gesetzt sind, 

— OtherDisturbed = TRUE (eine andere Station war eingangs gestort). 

45 c) Wird im Rekonfigurationszyklus ein nach Regel 14bl gesendetes Normal-Frame (N) des eingangs 

gestorte Senders nicht invalidiert, gilt unmittelbar sofort wieder Normalbetrieb. 

d) Nach Ende des Rekonfigurationszyklus sendet der eingangs gestorte Sender ein Normal-Frame (NX 

e) Stellt ein Empfanger nach dem Empfang des gemaB Regel 14d gesendeten Frames einen Obertragungs- 
f ehler fest, wertet er seine Variablen aus: 

so e 1) Ist die Variable ReceiveOneOk FALSE* konnte er kein Frame korrekt empfangen. 
Der Empfanger gliedert sich nach Regel 15 aus. 

e2) Ist die Variable ReceiveOneOk TRUE und die Variable OtherDisturbed FALSE, war er der einzige 
Teilnehmer, der keine korrekten Nachrichten vom Sender bekommen hat (das erste Frames und das ietzte 
Frame konnen durchaus auch bei anderen Stationen inkorrekt empfangen sein). Der Empfanger wartet das 
55 Quittungsf enster ab. Wird von anderen Stationen VETO ausgelost, bleibt er im aktiven Betrieb; wird jedoch 
kein VETO ausgelost, gliedert er sich nach Regel 15 aus. 

e3) Ist die Variable ReceiveOneOk TRUE und die Variable OtherDisturbed TRUE, wird die Sendung 

invalidiert, wodurch der Sender nach Regel 16 ausgegliedert wird. 

(s.Bild9) 
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Regel 15 



Ausgliederung eines Empfangers: In beiden Fallen (Regel Mel oder 14e2) setzt der Empfanger eine Meldung 
(MSGERROR/EXCLUDED/SYSCHANGE) an die Anwendung ab und geht in den Passivbetrieb. 

65 

Regel 16 

Ausgliederung eines Senders: Im Fall einer Invaiidierung (Regel 14e3) wird der Sender konsistent ausgeglie- 
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dert Afle aktiven Stationen, auch der Sender selbst markieren den Storenfried im Systemzustandsvektor als 
excluded Die Ausgliederung des Senders wird der Anwendung bekannt gegeben (EXCLUDED/SYSCHAN- 
GE). Der Sender geht in den Passivbetrieb. In der nachsten Zeitscheibe wird der Normalbetrieb fortgesetzt 
Bild 10 zeigt den Ablauf des Protokolls bei permanent def ektem EmpfangskanaL 

Bemerkung: Bei einer Stoning, die nicht uber den Rekonfigurationszyklus hinaus anhah, bleibt der betroffene 5 
Sender und alle Empfanger aktiv, siehe Bild 9. Halt eine Stoning uber den Rekonfigurationszykius hinaus an, 
bleibt mindestens eine Station aktiv, entweder der Sender oder bei Teilstdrungen mindestens einer der Empfan- 
ger (vgLBfld 11). 

Bemerkung: Regel 14c ist geeignet bei gunstiger Verteilung der Stationen im Zyklus Ausgliedenmgen durch 
emfach-periodische Stdrungen zu vermeiden, wie das aus Bild 12 erkennbar ist 10 

43 Initialisierung 

Wenn eine Station zur Initialisierung aufgefordert wird, sind folgende Falle zu betrachten: 

15 

— Es lauft schon ein TDMA-Zyklus: 

die Station wechselt in den Zustand Eingliederung. 

— Sie versucht einen TDMA-Zyklus aufzubauen, indem sie ein erstes S 1 -Frame sendet Dabei sind folgende 
Falle zu unterscheiden: 

— Eine andere Station versucht auch, einen TDMA-Zyklus aufzubauen. 20 

— Andere Stationen antworten nicht (Obertragungsf ehler, Kollision, keine Station aktiv). 

— Andere Stationen akzeptieren den Versuch. 

Regel 17 

25 

Zu Beginn der Initialisierung wird von der ProtokoUmaschine der TDMA-Zyklus 0 erzeugt Darin besitzt jede, 
in den statisch festgelegten Zyklen vorkommende Station genau eine Zeitscheibe. Die Stationen werden in 
aufsteigender AdreBreihenfolge eingetragen. 

Der Regel 17 liegt folgendes grobes Zustandsdiagramm zugrunde,das in Bild 13 dargestellt ist 

30 

a) Wird eine Station von der Anwendung zur Initialisierung aufgefordert wartet sie eine festzulegende 
Zeitspanne, die den gemeinsamen Start afler Stationen enndglichen soil, auf ein Frame. Die Zeitspanne 
sollte so groO gewahlt sein, dafi die unterschiedlichen Laufzehen bei der Initialisierung der Stationen 
ausgeglichen werden. Sie muB groBer sein als die Zyklusdauer, urn ein lauf endes System nicht zu storen. 
bl) Bekommt eine wartende Station in der o.g. Zert ein korrektes Frame, das nicht vom Typ INIT-Protokoll- 35 
nachricht ist, wechselt sie in den Zustand Eingliederung. 

b2) Wenn die Station nach Ablauf der o-g. Zeitspanne kein Frame bekommen hat sendet sie eine eigene 
initiale INIT-Nachricht Letztere enthalt wie jede Protokollnachricht die Nummer des Zyklus (= 0% die 
Nummer der Zeitscheibe im Zyklus (und damit imphzit die Stationsadresse), den aktueilen Systemzustands- 
vektor und eine Prufsumme uber die Zeitscheibenvergaben. Im inhialen Zustandsvektor sind die Bits aller 40 
Stationen excluded gesetzt In der INIT-Nachricht wird das eigene Zustandsbit included gesetzt 
b3) Erhalt die Station auf ihre INIT-Nachricht innerhalb einer Zeitspanne, die sich aus <Zykluszeit + 2 • 
Zeitscheibennummer • Zeitscheibenzeh> bestimmt kein Frame einer anderen Station, sendet sie erneut 
ihre initiale INIT-Nachricht Dieser Vorgang wird T*-mal wiederholt (T muB nodi festgelegt werden). 
b4) Wird zu dieser Zeit ein Frame gestort empfangen, wird kein VETO gesendet und erneut nach Regel b3 45 
verfahren. Dabei wird die o.g. Wartezeit erneut gesetzt 

b5) Nach Erhalt einer ersten korrekten INIT-Nachricht wird die enthaltene Prufsumme mit der eigenen 
verglichen. Stimmen sie uberein wird die Zeitscheibe mit Hilfe der enthaltenen Zeitscheibennummer 
synchronisiert, und die Protokolhihren (Timer) werden nach Regel 40 gestartet Im Fall einer Differenz 
schaltet sich die Empfangerstation ab. 50 
cl) Jedesmal, wenn nachfolgend eine INIT- Nachricht korrekt empfangen wird, wird die enthaltene Pruf- 
summe mit der eigenen verglichen. Im FaU einer Differenz wird das Frame invalidiert Anderenfalls wird der 
enthaltene Systemzustandsvektor entnommen und lokal uberschreibend gespeichert Gestorte oder invali- 
dierte Frames werden ignoriert Nach korrektem Empfang von Frames, die nicht vom Typ INIT sind, geht 
das Protokoll in den Zustand Eingliederung. 55 
c2) Gelangt eine Station, die in ihrem lokalen (zuletzt gespeicherten) Systemzustandsvektor noch excluded 
gekennzeichnet ist in ihre Zeitscheibe, kopiert sie den Zustandsvektor in ihre INIT-Protokollnachricht 
setzt dort ihr Zustandsbit included und sendet das Frame ab. 

c3) Ist eine Station in ihrer Zeitscheibe bereits included gesetzt, sendet sie eine Protokollnachricht vom Typ 
CHMODE mit dem gewunschten Erstzyklus und geht wenn nicht invalidiert wird, in den Normalbetrieb. 60 
Der Normalbetrieb beginnt mit der Zeitscheibe o des vereinbarten Zyklus (siehe auch Kaphel 4.6). Die 
Aufnahme des Normalbe triebs wird der Anwendung bekannt gegeben. 

d) Alle Stationen, die eine Protokollnachricht vom Typ CHMODE empfangen, die nicht invalidiert wird, 
schalten ebenfalls in den Normalbetrieb, wenn ihr Bit im Systemzustandsvektor included gesetzt ist Ist das 
nicht der FaU, gehen sie in den Zustand Eingliederung. Die Aufnahme des Normaibetriebs wird der 65 
Anwendung bekannt gegeben. 

Bild 14 zeigt den normalen Start des Protokolls. 
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In Bild 15 ist der Start des Protokolls nach eincr Kollision dargestellt 

4.4 Passivbetrieb 

Die Anwendung kann die ProtokoUmaschine in den Passivbetrieb starten oder umschalteiu Der Passivbetrieb 
wird automatisch aufgenommen, wenn am Ende der Rekonfiguration nach Regel 15 oder Regel 16 eine Ausglie- 

de ^nwefe?Ene redundante Station, die repiikanieterimnistisch arbeiten, jedoch keine Ausgaben produzieren 
soil (hot stand by) muB im Normalbetrieb im Sendmodus SendOnNoBus arbeiten, da im Passivbetrieb kein 
10 VETO moglich ist£ 

Regel 18 

Gelangt eine Station in den Passivbetrieb, setzt sie sich selbst im lokalen Zustandsvektor excluded. Im 
is Passivbetrieb werden keine Nacfarichten und keine VETO-Signale gesendet Nachrichten anderer Stationen 
werden der Anwendung nach Regel 9 ubergeben. Nachrichten, die nur von der eigenen Station inkorrekt 
empf angen wurden und nicht invalidiert werden, gehen verloren; die Anwendung bekommt eine Fehlermeldung. 

Regel 19 

Eine Station muB zunachst, wenn sie cfirekt in den Passivbetrieb gestartet wird, den aktueflen Zyklus und ihre 
eigene Zeitscheibe in Erfahrung bringen. Die Station muB auBerdem den aktueflen Systemzustand bestimmen. 
Wird bei Ankunft einer Protokollnachricht eine unterschiedliche Prufsumme erkannt (Abweichung der Zeit- 
scheibenvergaben im System mit den eigenen Zeitscheibenvergaben), schaltet sich die Station ab. 

Regel 20 

Nummer des aktueflen Zyklus (Mode) bestimmen: Dazu wertet die Station nacheinander die Cycle-Bite alter 
Normal-Frames mit Applikauonsnachricht aus, die nicht invalidiert werden. Bekommt sie erne Protokollnach- 
richt gilt unmhtelbar Regel 23. Bekommt sie aber ein gestortes Frame, das nicht invalidiert wird, oder em 
Recovery-Frame, muB sie die Auswertung neu beginnen. Eine Sequenz beginnt mit einer ersten 0 (Anfangsken- 
nung) im Qrcle-Bh und ist voflstandig, wenn eine zweite 0 (Endekennung) erkannt wird. Die Nummer des Zyklus 
ergibt sich aus der Summe unmittelbar aufeinander folgender Normal-Frames mit einer 1 im Cycle-Bit 

Regel 21 

Zeitscheiben bestimmen: Setzt man die eigene statische Zeitscheibenvergabe zunachst als konsistent mh dem 
System voraus, kann die beobachtende Station einzelne Zeitscheiben im aktueflen Zyklus inspizieren und die 
Slice-Bits der darin gesendeten Normal-Frames mit Applikationsnachricht auswerten. Eine Sequenz ist gultig, 
wenn die beobachtete Zeitscheibe nicht gestort wird, also Normal-Frames in Folge gesendet werden. Die erste 
abgeschlossene 0 (Anf angskennung) bis 0 (Endekennung)-Sequenz laBt die Nummer der Zeitscheibe erkennen, 
die sich aus der Summe unmittelbar aufeinander folgender Normal-Frames der Zeitscheibe mit einer 1 im 
Slice-Bit ergibt Damit ist/sind auch die eigene/n Zeitscheibe/n im Zyklus bestunmt Bei nicht-redundanten 
Stationen durfen in dieser/n Zeitscheibe/n keine anderen Stationen senden. Mit Hilfe der Zehscheibennummer 
kann wegen der global konsistenten Zeitscheibenvergabe auf die Stationsadresse geschlossen werden und Regel 
22 durchgefuhrt werden. Bekommt die Station in dieser Zeit eine Protokollnachricht gilt ebenf alls unmittelbar 
Regel 23. 

Regel 22 

Systemzustand bestimmen: Die Station setzt afle Stationen im Systemzustandsvektor excluded. Sie beobach- 
tet dann mindestens einen ungestorten TDMA-Zyklus lang das Nachrichtengeschehen (nur N-Frames werden 
gesendet) und setzt afle Stationen included, deren Zeitscheibe nicht durch VETO invalidiert wird Regel 22 kann 
parallel zu Regel 21 durchgefuhrt werden und ebenf alls abgebrochen werden, wenn eine Protokollnachricht 
55 empf angen wird. 

Regel 23 

Wird ein Frame mit Protokoll-Nachricht empfangen, kann der aktuelle Zyklus, die aktueUe Zeitscheibe und 
der Zustandsvektor ubernommen werden. Die Regeln 20, 21 und 22 konnen ausgesetzt werden. 



20 



25 



30 



35 



40 



45 



50 



60 



65 



Regel 24 



Die Anwendung kann einen Wechsei vom Passivbetrieb uber die Eingliederung in den Normalbetrieb veran- 
lassen, wenn die Station im aktueflen Zyklus eine eigene Zeitscheibe besitzt. Ging dieser Aufforderung eine 
protokoll-gesteuerte Ausgiiederung nach Regel 15 voran, ftthrt sie den Zustandswechsel nur dann aus, wenn sie 
eine bestimmbare Zeitdauer "T lang keine gestorten Frames empfangen hat und die Anzahl der eigenen 
AusgUederungen pro vorangegangener Zeiteinheit einen gegebenen Schwellwert mcht uberschntten hat ( tr 
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und T" muB noch f estgelegt werden). 

Regel 25 

Eine Station im Normalbetrieb kann von der Anwendung jederzeit in den Passivbetrieb geschaltet werden. 5 
Der Passivbetrieb wird sofort wirksam. 

45 Eingliederung 

Regel 26 10 
Stationen im Zustand Eingliederung senden grundsatzlich kein VETO-SignaL 

Regel 27 

15 

a) Wenn eine Station nicht direkt aus dem Passivbetrieb kommt, muB sie zunachst nach Regel 20, 21 und 22 
den aktuellen Zyklus, ihre Zeitscheibe und den aktuellen Systemzustandsvekor bestimmea Nachrichten 
werden nach Regel 9 an die Anwendung weitergeleitet, sobald die aktuelle Zeitscheibe und der Zyklus 
bekannt sind Besitzt die Station im Zyklus keine eigene Zeitscheibe, so geht sie unmittelbar in den 
Passivbetrieb. 20 
bl) 1st eine Station bereits nach Durchfuhrung von Regel 27a included gesetzt (redundanter Partner aktiv), 
geht sie sofort in den Normalbetrieb, siehe auch Regel 38. Sobald ihr der redundante Partner uber das B-Bit 
des ProtokoIIbyte signalisiert (oder signalisiert hat), daB der zum Senden befohlene Bus frei ist, geht sie in 
den befohlenen Sendemodus. Solange der Bus besetzt ist sendet sie nicht: Sendemodus SendOnNoBus. 
b2) Ist die Station nicht included sendet sie, wenn das laufende Protokoll im Normalbetrieb ist, in ihrer 25 
ersten nachfolgenden Zeitscheibe ein N-Frame mit Protokollnachricht vom Typ INTEGRATE. Wird zwi- 
schenzeitlich ein Zykluswechsel wirksam, wird der neue Modus ubernommen und uberpruft Besitzt die 
Station im neuen Zyklus keine eigene Zeitscheibe, so geht sie unmittelbar (wieder) in den Passivbetrieb. 
cl) Wird das Frame nicht invalidiert, ist die Station mtegriert und befindet sich unmittelbar im Normalbe- 
trieb. Sie wird in alien Stationen included gesetzt und die Anwendung bekommt eine Mitteilung (SY- 30 
SCHANGE) (vgL Bild 16). 

c2) Im anderen Fall versucht die Station fruhestens nach jeweils V TDMA-Zyklea wenn keine Stdrungen 
aufgetreten sind, "n* weitere Eingliederungen nach Regel 27 ("m* und n n" muB noch f estgelegt werden) und 
fuhrt zuvor die Regel 20,21 und 22 nochmals durch. Nach "n* Versuchen geht sie in den Passivbetrieb. 

35 

Regel 28 

Wird von einer included gesetzten Station ein Normal-Frame nut Protokollnachricht vom Typ INTEGRATE 
empfangen, wird der enthaltene Zyklus, die Zeitscheibe, der Systemzustandsvektor und die Prufsumme der 
Zeitscheibenvergaben mit den eigenen Werten vergfichen. Im Fall einer Differenz, wird die Nachricht durch 40 
VETO-Signal invalidiert 

Regel 29 

Empfangt eine Station in der Eingliederung einen TDMA-Zyklus lang kein Frame, geht sie in die Initialisie- 45 
rung. 

4.6 Zykluswechsel 

Regel 30 so 

Gelangt eine Station im Normalbetrieb in ihre Zeitscheibe sendet sie eine Protokollnachricht vom Typ 
CHMODE, wenn ihr ein entsprechender Wunsch von der Applikation vorliegt Die Protokollnachricht enthalt 
die Niimmer des angeforderten Zyklus, die Nummer der anzuspringenden Zeitscheibe im neuen Zyklus und den 
aktuellen Systemzustandsvektor, worm jedoch alle Stationen, die im angeforderten Zyklus keine eigene Zeit- 55 
scheibe besitzen, excluded gesetzt sind. 

Regel 31 

Empfangt eine Station im Normalbetrieb eine Protokollnachricht vom Typ CHMODE uberpruft sie, ob der 60 
angeforderte Zyklus zuvor von der eigenen Applikation freigegeben wurde. Ist das nicht der Fall, sendet sie 
VETO, wenn sie im angeforderten Zyklus eine Zeitscheibe besitzt Eine mit VETO bedachte CHMODE-Nach- 
richt wird generell verworfen. Danach wird nach Regel 14 ein Rekonfigurationszyklus durchgefuhrt, so daB ein 
erneuter Zykluswechsel zunSchst verhindert wird. 

Wird die CHMODE-Nachricht nicht mit VETO quhtiert, ubernehmen alle Stationen den gesendeten System- 65 
zustandsvektor; Stationen die dabei excluded gesetzt werden gehen in den Passivbetrieb. Unmittelbar nach 
Ablauf der aktuellen Zeitscheibe beginnt die angeforderte Zeitscheibe im neuen Zyklus. Stationen, die im 
Vorzyklus nicht included gesetzt waren, jedoch nun beteiligt und nicht permanent ausgegliedert sind, werden in 
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den Zustand Eingliederung versetzt 

Im foigenden Beispiel werden Zykluswechsel durchgefuhrt, die die A us- und Eingliederung einer Station (6) 
bewirken. Dazu wird abermals die Idee eines Leitsystems im zukunftigen Kfz berauht, das aus einer redundanten 
Fahrerstation 0 und den Radstationen 1 bis 4 besteht Die Station 5 sei beispielsweise das Getriebemanagement 
5 und die Station 6 das Motormanagement mit der Funktion Anfahrschlupfregelung. Nachrichten dieser Rege- 
lungsfunktion sind bei Schnellfahrt ohne Bedeutung; die Station wird ausgegliedert, urn den BremsregelzykJus zu 
verkurzen (Mode 1). Sie wird bei langsamer Fahrt wieder eingegliedert (Mode 2). 



Zeitscheibe 


012345678 


Mode 1 
Mode 2 


0 0 5 1 2 3 4 0 1... 
005 1234601... 



15 Die Zeitscheibe 2 (Station 5) laBt der Radstation 1 nach dem Kommando der Fahrerstation 0 Rechenzeit zur 
Reaktion und Antwort Die Station 0 besttzt (auBer ihren redundanten Zekscheiben am Beginn) jeweils am Ende 
der Zyklen eine wehere Zeitscheibe, in der sie keine Anwendernachrichten sendet Daher werden in dieser 
Zeitscheibe vom Protokoll Nachriebten vom Typ NULL gesendet, die eine schnelle (Wieder-)Eingliederung von 
Stationen gestatten, Die Fahrerstation 0 nutzt diese Zeit zum Auswerten der Antwort der Radstationen, bevor 

20 sie im neuen Zyklus Kommandos sendet Diese Zeitscheibe wird von ihr auch benutzt urn Zykluswechsel 
durchzufuhren. 

Bild 17 zeigt den Ablauf des ProtokoOs nach dem Mode-Change-Request: 
Ein Zykluswechsel zur Eingliederung der Station 6 erfolgt von der Zeitscheibe 7 des Mode 1 in die Zeitscheibe 7 
des Mode 2, urn der Station 6 eine sofortige Anmeldung zur Eingliedenmg zu gestatten, siehe Bild 17. Zum 
25 Rucksprung aus dem Mode 2 wird ein Zykluswechsel aus der Zeitscheibe 8 in den Mode 1 Zeitscheibe 0 
durchgefuhrt Die Ausgfiederung der Station 6 erfolgt dabei automatisch. 

4 J MaBnahmen zur Erhaltung der Konsistenz 

30 Regel32 

VETO-Signale (und ihre Hardware) sind so zu implementieren, daB sie mit sehr hoher Wahrscheinlichkeit, 
auch unter starken Storeinflussen, erkannt werden. Dabei ist es zulassig, daB die Erkennungs-Hardware einzelne 
Storungen als VETO interpretiert und meldet, was dann nach Regei 4 global bekannt gemacht wird Es ist nicht 
35 zulassig, daB ein VETOSignal durch eine mogliche Stdrung nicht erkannt wird. 

Regel 33 

VETO wird von der Empfangs-Hardware erkannt Damit ist der FaH daB eine Station ein Frame korrekt 
40 empfangt, ein nachfolgendes VETO-Signal jedoch nicht erkennt, extrem unwahrschemlich, kann jedoch durch 
einen transienten Fehler verursacht werden. Ein permanenter Fehler wurde (zumindest nachfolgend) beide 
Funktionen — Empfang von Frames und Veto-Erkennung — storen. 

Die foigenden MaBnahmen and geeignet das Restrisiko aus Kegel 33 abzudecken. Sie sind sehr einf ach zu 
implementieren und bewirken, daB die Konsistenz im System nach eincm sol<Aen Fehler innerhalb eines Zyklus 
45 wiederhergestellt ist: 

Kegel 34 

Kegel 1 1 wird erwehert: Im Quittungsf enster einer excluded gesetzten Station wird audi dann VETO gesen- 
50 det, wenn die Station ein Frame gesendet hat, das nicht vom Typ INTEGRATE-Protokollnadiricht ist (Bei 
Empfang einer INTEGRATE-Protokollnachridit siehe Kegel 28). 

Regel 35 

55 Empfangt eine Station, nach einer korrekten, nicht-invalidierten Obertragung eines Normal-Frame, ein Reco- 
very-Frame, verbleibt sie im Normalbetrieb. 

Regel 36 

60 Empfangt eine Station, die sich im Rekonfigurationszyklus befindet, ein Normal-Frame von einer Station, die 
nicht der eingangs gestdrte Sender ist, wertet sie das Frame wie ein R0- Frame. Handelt es sich beim Normal- 
Frame urn eine Protokollnachricht vom Typ CHMODE, wird die Zeitscheibe durch VETO invalidiert 

Die Bilder 18 bis 21 geben den Refigurationszyklus einzelner Stationen und die Anwendung der Regeln 34, 35, 
36 sowie (im Einzelfall) der Regeln 1 1, 14, 16 wieder. 
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Im allgemeinen Fall besitzen Stationen neben der Kommunikatioiisschnittstelle eine auch Schnittstelle zum 
Technischen ProzeB. Werden Sensordaten eingelesen, mussen Stationen, die in aktiver Redundanz arbeiten, 
diese Eingaben miteinander abgleichen und, wenn Alternativen vorhanden sind, ihre nachsten Aktionen abstim- 
men (Replika-Determinismus). AuBerdem sollen sie u. U. auch ihre Ergebnisse vergleichen oder votieren, bevor 
sie weitergegeben werden. In jedem Fall ist Kommunikation untereinander notwendig. Redundante Stationen, s 
die jeweils eine eigene Zeitscheibe besitzen, kdnnen naturlich ohne Probleme fiber den Systembus miteinander 
kommunizieren. Bei dieser Korarnunikationsart werden jedoch viele Zeitscheiben bendtigt, wodurch der Sende- 
zugriff im Gesamtsystem verzdgert wird. Will man Abgleich und Synchronisation aus Gescfawindigkeits- und 
Lastgrunden nicht uber den Systembus abwickeln, bendtigen redundante Stationen zusatzliche lokale Kommu- 
nikationsquerverbindungen (vgL Bild 22). 

Lokale "Punkt zu Pimkt"-Querverbindungen sind vernunftig, 

— weil redundante Stationen meist am selben Ort und vielleicht im selben Gehause plaziert sind, die 
Querverbindungen daher kurz und nirgendwo im Wege sind, 
_ we il sie einfach implementiert werden kdnnen und daher kostengunstig sind, 

— weil der Systembus stark entlastet wird, 

— weil praktisch keine Verzdgerung beim Abgleich mit redundanten Partnern entsteht, so daB auch 
schnelle lokale Regelungen in den Stationen durchgefuhrt werden kdnnen, 

— weil die Ausf allof f enbarungszeit redundanter Partner verkurzt wird und 

— weil der Sicherheitsnachweis erheblich vereinf acht wird 

Kommunikation redundanter Stationen mit gemeinsamer/n Zeitscheibe/n 

Ein redundanter Stationsverbund kann eine oder zwei auf einander folgende gemeinsame Zeitscheibe/n erhal- 
ten, in der/denen eine oder zwei ausgewahlte Stationen die externen Nachrichten versenden. Die ubrigen 
Stationen des redundanten Verbundes senden nicht, 

sind jedoch VETOberechtigt, erhalten dadurch alle Nachrichten, auch die ihrer Partnerstationen, und kdnnen 
dem aktuellen Geschehen folgen. 

Die Protokollmaschine ist, mh fliren verschiedenen Sendemodi (siehe Regel 38), gut ausgerustet, die Kommu- 
nikation fur redundante Stationen in einer oder zwei Zettscheibe/n durchzufuhren. Die Stationen kdnnen dabei 
in den verschiedensten Redundanzstrategien, wie Duplex, Duplex mit Backup, Triple-Modular-Redundancy und 
Doppel-Duplex, am Systembus gleichzeidg arbeiten. Die Strategien werden in einer Software-Schicht (Redun- 
danzmanagement) abgebQdet, die die Sendemodi der Protokollmaschine steuert. 

Wird ein nicht-redundanter Systembus verwendet, kann nur eine der redundanten Stationen in einer zugeord- 
neten Zeitscheibe senden. Bei einem redundanten Bus, der aus zwei Leitungen besteht, ist auch die Betriebsart 
"zwei Stationen senden auf je einer Lehung w moglich. Afle weiteren redundanten Stationen senden in dieser 
Zeitscheibe nicht, legen jedoch ggf. VETO ein, Es werden folgende verf einerte Betriebsarten fur einen redundan- 
ten Bus vorgeschlagen, siehe dazu Bild 26: 

Betriebsart 1 <o 

Eine primare Station sendet auf dem redundanten Bus, solange keine Storung auftritt Eine redundante Station 
tritt nach Ausf all der Primarstation in Aktion. 

Betriebsart 2 « 

Zwei redundante Stationen senden gleichzeitig auf je einer Leitung des redundanten Busses. Es kann ein 
Vergleich der Nachrichten beim Empfanger durchgefuhrt werden. 

Betriebsart 3 so 

Zwei redundante Stationen senden gleichzeitig au f je einer Leitung des redundanten Busses und in der 
nachfolgenden Zeitscheibe umgekehrt (Vorschlag aus TTP). Eine einfache Storung kommt nicht durch und es 
kann ein Vergleich der Nachrichten beim Empfanger durchgefuhrt werden. 

55 

Betriebsart 4 und 5 
TMR und DoppelDuplex/Quadruplex-Betrieb 

In der Betriebsart 1 gibt es den Nachteil, das die Sendeeinrichtung des redundanten Knotens nicht laufend 
uberpruft werden kann, ein Ausf all unbemerkt bleibt und eine Obernahme ggf. nicht moglich ist Fur redundante 
Stationen, an die die Anforderung gestellt wird fail-operational zu arbeiten, ist diese Betriebsart nicht zulassig. 

In der Betriebsart 2 bis 5 gibt es einen Nachteil bei ereignisgesteuerter Anwender-Software: Geringe Lauf- 
zeitunterschiede in den redundanten Stationen kdnnen dazu fuhren, daB die Protokollmaschine der einen Station 
die Nachricht gerade noch vor dem Sendezeitpunkt bekommt und in Form einer Anwendernachricht auf ihre 
Busleitung bringt, wahrend die Protokollmaschine der anderen Station, der zum Sendezeitpunkt noch keine 
Anwendernachricht vorliegt, eine Protokollnachricht des Typs NULL auf ihrer Leitung sendet Da ein solches 
Ereignis auch von den Sendern selbst erfaBbar ist, indem die Sendungen der eigenen Zeitscheibe von der 
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Applikation ausgewertet werden, kann die Anwendung konsistent reagieren. 

RegeI37 

Regel 14 (Rekonfigurationszyklus) wird ausgesetzt und der Normalbetrieb fortgefuhrt, wenn die nachfolgen- 
de Zeitscheibe der gleichen Station gehort oder wenn die vorangegangene Zeitscheibe der gleichen Station 
gehort und ungestort blieb (s. Bilder 23 bis 25). 

Regel 38 

Wird einer included gesetzten Station ein neuer Sendemodus befohlen, wird er unmittelbar in der nachsten 
eigenen Zeitscheibe ausgefuhrt. Folgende Sendemodi sind moglich: 
SEND_NONE: nicht senden (jedoch VETO) 

SEND_ANY : in jeder Zeitscheibe auf beiden Bussen senden (V oreinstellung), beim Senden wird das B-Bit im 
ProtokoIIbyte gesetzt 
SEND_BUSl/2: auf Bus 1/2 senden 

SEND_EVEN/ODD: in gerader/ungerader Zeitscheibe auf beiden Bussen senden 
SEND_CROSSWISE 1 : in gerader Zeitscheibe auf Bus 1, in ungerader auf Bus 2 senden 
SEND~CROSSWISE2: in gerader Zeitscheibe auf Bus 2, in ungerader auf Bus 1 senden 
SEND BUS 1 EVEN : in gerader Zeitscheibe auf Bus 1 senden 
SEND_BUS10DD: in ungerader Zeitscheibe auf Bus 1 senden 
SEND_BUS2EVEN : in gerader Zeitscheibe auf Bus 2 senden 
SEND BUS20DD: in ungerader Zeitscheibe auf Bus 2 senden 

(Anmerkung: Wird von der Anwendung — durch gleiche Einstellung der redundanten Protokollmaschinen — 
eine totale (Collision (oder Aussetzer) produziert, werden alle redundanten Stationen ausgegliedert). 

Regel 39 

Eine redundante Station gliedert sich wieder ein, aucb wenn ihre Adresse bereits included gesetzt ist Sie 
sendet eine Nachricht vom Typ INTEGRATE in ihrer zugewiesenen Zeitscheibe und auf ihrem(n) Bus(sen). Die 
redundanten aktiven Partnerstationen senden als Bestatigung der Eingiiederung in der nachsten nachf olgenden 
Zeitscheibe ein Frame mit gesetztem R-BiL 

In Bild 26 sind redundante Sendemodi der Betriebsarten 2,3,4 und 5 dargestellt. 

43 Untersuchung von Mehrf achf ehlern 
Hierzu geben die Bilder 27 bis 29 Betspiele an. 

4.10 Aufbau der Kommunikations-Hardware 

Ohne dem genauen Design der Kommunikations-Hardware mit der Protokollmaschine (Protocol Engine) 
vorgreif en zu wollen, sei nachfolgend in Verbindung mit Bild 30 eine prinzipielle Idee zum moglichen Aufbau 
der Kommunikationshardware dargestellt 

Jede Station beshzt zur Vermeidung von Common-Mode-Fehlem im Zehbereich zwei unabhangige Uhren- 
bausteine, die aus einer Timer-Sektion und einem Window-Generator bestehen. Eine dieser Uhren generiert die 
Interrupts AT_NEXTSLICE (Beginn eines neuen Zeitf ensters) und AT_VETO (Beginn des Quittungsfensters) 
fur die Protokollmaschine. Die Window-Generatoren beider Uhren (oder auch nur einer) produzieren Transmit 
Windows und wirken so als "Tune-Guardian* auf die Sende-Hardware (Transmitter) der Station. Die Uhrenbau- 
steine werden von der Protokollmaschine angestoBen, arbeiten jedoch weitgehend autonom (unter Zuhilf enah- 
me von Information im Dual-Port-RAM: DPR). Weicht ein Uhrenbaustein zu stark vom anderen ab, oder die 
Protokollmaschine halt die vorgegebenen Zeiten nicht ein, werden die eigenen gesendeten Nachrichten zerstort 
und die Station wird ausgegliedert bzw. gliedert sich selbst aus. 

Das Watchdog-Signal ist optional und wird generiert, wenn die Protokollmaschine die Uhren nicht regelmafiig 
anstoBt Eine Uhr produziert keine Transmit- Windows mehr, sobald sie das Watchdog-Signal sendet Mit dem 
Watchdog-Signal wird die Protokoflmaschine zuruckgesetzt Auf dieses Signal muB anwenderseitig reagiert 
werden. Des weiteren soUten die Transmit- Windows der Uhren lauf end (u. U. von der Protokollmaschine) auf 
"stuck at 1* uberpruft werden (nicht im Bild enthalten), da ein unerkannter Fehler in den Sicherungseinrichtun- 
gen unbedingt auf gedeckt werden mu&. 

4.11 VoriauHge Synchronisation des Protokolls 

Nachfolgend wird ein einfaches Prinzip zur Synchronisation der Protokollmaschinen und zur Erzeugung der 
Interrupts AT NEXTSLICE und AT VETO fur den ersten Kommunikationsprototypen vorgestellt, das nicht 
den Anspruch erhebt einen sicheren Betrieb zu gewahrleisten, jedoch eine erste praktische Erprobung (bei 
F3S/R)erm6glicht 
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Regel 40 (vorlaufig) 

Die Interrupt-Uhr besteht aus 2 Registerpaaren (Timern), ein Paar wird gebildet aus einem aktueilen Count- 
down-ZahJer und einem Zyklusregister. Die Zahler beider Paare werden von einem gemeinsamen Takt getrie- 
ben. Der Zahler lauft, sobald er geladen wild, und lost, wenn er den Wert 0 erreicht hat einen Interrupt aus. Der s 
Inhalt des Zyklusregisters wird danach automatisch in den Zahler geladen, 

In die Zyklusregister der beiden Tuner kommt das Zehaquivaient fur eine Zeitscbeibe {Ts&e}, Unmittelbar 
nach Empfang des ersten korrekten Frames wird der Zahler des Timers ATNEXTSLICE mit dera Zeitaquiva- 
lent fur das Quittungsfenster plus der Uhrenabweichung im System {Tveto + ATnck} geladen und der Timer 
AT VETO mit dem Zehaquivaient fur eine Zeitscheibe plus Uhrenabweichung {TsEce + AXxtdt} geladen. 10 
Jedesmal, wenn danach ein Frame einer fremden included gesetzten Station korrekt empfangen wird und der 
Timer AT VETO eine Diff erenz D < ATnck - e oder D > ATnck + e aufweist, werden die Timer nach diesem 
Mechanismus gestellt Wird jedoch zu zwei verschiedenen Sendern eine Differenz D < ATndc — <r oder D > 
ATnck + <* f estgestellt wobei gilt ATnck > a > c wird die ProtokoOmaschine abgeschaltet, da die Abweichung 
der interaen Taktfrequenz zu groB ist 15 

Eine Station beginnt in ihrem Zeitfenster mit der eigenen Sendung, wenn der Timer AT_NEXTSLICE den 
Wert {Tssce— Trick} erreicht hat (tsend> 

In BUd 31 ist ein Zeitdiagramm der Synchronisation dargestelit 
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50 

Patentanspruche 

Protokoll zur Obertragung von Nachrichten zwischen sendenden und empfangenden Stationen in Zeit- 
scheiben fur sicherheitskritische Anwendungen auf der Basis einer synchronen Arbitration, dadurch ge- 
kennzeichnet, 55 
daB die Zeitscheiben zyklisch jeweOs einer Empfangsstation durchgangig deterministisch zugeordnet wer- 
den, 

daB die Zeitscheiben jeweils in ein zeitliches Transferfenster zur Obertragung der Nachricht bzw. einer 
Teilnachricht und in ein an das Transferfenster anschliefiendes zeitliches Quittungsfenster unterteilt werden 
und daB im Quittungsfenster ausschlieBlich bei einer f ehlerhaf t oder gar nicht empfangenen Nachricht von 60 
der Empfangsstation ein Einspruchssignal (VETO-Signal) als Anzeige einer Stoning abgegeben wird 



Hierzu 1 1 Sehe(n) Zeichnungen 
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Bild 7 Abiauf des Protokolls im ungestorten Betrieb (Zeitscheibenvergabe nach Kap^^) 
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Bild 8 Abiauf des Protokolls bei inaktiver Station (NodeS) 
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Bild 14 Normaler Start des Protokolls (3 Stationen im Zykius, Nodel sendet zuerst) 
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Bild 1 6 Ablauf des Protokolis bei (Wieder-) Eingliederung einer Station 
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Bild 17 Ablauf des Protokoll nach Mode-Change-Request 
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Bild 19 Stationen ernpfangen Frame jedoch kein VETO 



Sicht 
Nodes: 



I 



Nodel ! 



N 



Regett6:Node0f 



NodeO I Nodel I 



Regel 34 



Node2 I 

EZ 



NodeO 1 



N 



Rekonfigurationszykius — ^ 
NodeO: 



I 

1 

L 


NodeO i 


Nodel 1 


N 


i 
1 


- i 


1 


1 


i 



NodeO I 



N 



Nodel I 

L 



N 



Regel 14 



T 



Node2 I 

E 



t 



i 



Rekonfigurationszykius 



Regel 36 
Rekonfigurationszykius 



Regel 34 
NodeO I 



N 



Regel16: NodeOt 



Bild 20 Eine Station (0) hat nicht bemerkt, daB sie am Ende 

ihres Rekonfigurationszykius durch VETO ausgegliedert wurde 
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Bild 21 Eine Station (1) hat nicht bemerkt, daB eine andere Station (0) am Ende 
eines Rekonfigurationszykius durch VETO ausgegliedert wurde 
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Biid 22 Zweifach redundante Station rnit redundantem KommunikationsanschluB 
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Biid 23 Storung, nachfolgende Zeitscheibe gehort der gleichen Station 
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Bild 24 Storung, vorangegangene Zeitscheibe gehort der gleichen Station 
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Bild 25 Anhaltende Storung, aufeinander folgende Zeitscheiben gehoren einer Station 
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Duplex-Betrieb mit Einfachzeitscheibe, 0.1: SEND_CROSSWISE1 , 0.2: SEND_CROSSWISE2 
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Duplex-Betrieb mit Folgezeitscheibe, 0.1: SEND_CROSSWISE1, 0.2: SENDJ2ROSSWISE2 
(TTP-Modus) 
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Duplex-Betrieb mit Folgezeitscheibe, 0.1: SEND_EVEN, 0.2: SEND_ODD 
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TMR-Betrieb mit Folgezeitscheibe, 

0.1: SEND_EVEN, 0.2: SEND_BUS10DD, 0.3: SEND_BUS20DD 
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Bild 26 Redundante Sendemodi der Betriebsarten 2, 3. 4 und 5 
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Zweikanafiger Betrieb mit einkanalig(defekt)er Station: 
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Bild 27 ProtokoHabiauf bei gemischtem Betrieb von zweikanaligen und einkanaligen Stationen 
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Station einkanalig defekt, zweite Station wird auf dem anderen Kanai defekt: 
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Bild 28 Ablaut bei einer einkanalig defekten Station (2), nachdem ein zwerter Kanal 
in einer anderen Station (3) austaitt, der am anderen Bus angeschlossen tst 
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Bild 29 Ablaut des Protokolls bei totaler Abtrennung einer Station (oder Transceiver-Austall) 
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Bild 31 Zeitdiagramm der Synchronisation 
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